Grupos de ransomware estão usando o software de transferência de arquivos da IBM sem correção para tentar atacar empresas. O software Aspera Faspex da IBM é um aplicativo de troca de arquivos corporativo amplamente adotado, cuja reputação é a sua capacidade de proteger e mover rapidamente arquivos grandes.
Especialistas em segurança alertam que uma falha corrigida no software pela IBM em 8 de dezembro do ano passado, a qual pode ser usada para contornar a autenticação e explorar remotamente o código, está sendo explorada ativamente, inclusive por vários grupos de ransomware.
Embora a falha tenha sido corrigida, a IBM não parece ter detalhado imediatamente a vulnerabilidade — uma das muitas — corrigida nessa atualização. Em um alerta de segurança de 26 de janeiro, a IBM disse que a falha, identificada como CVE-2022-47986 e com escore de 9.8 na escala do sistema de pontuação comum de vulnerabilidades (CVSS), “poderia permitir que um invasor remoto executasse código arbitrário no sistema”.
O grupo de rastreamento de atividades maliciosas Shadowserver alertou, em 13 de fevereiro, que estava vendo tentativas ativas de explorar o CVE-2022-47986 em versões vulneráveis do Aspera Faspex. O desenvolvedor de software Raphael Mendonça relatou em 16 de fevereiro que um grupo chamado BuhtiRansom estava “criptografando vários servidores vulneráveis”.
BuhtiRansom é um grupo de ransomware relativamente novo que o grupo de inteligência de ameaças da Unit 42 de Palo Alto Networks identificou usando ransomware escrito em linguagem Go que infecta sistemas Linux. O grupo estava orientando as vítimas a pagar o resgate por meio do “SatoshiDisk[.]com, um site para pagamento em Bitcoin atualmente hospedado no Cloudflare IP”, relatou o pesquisador de malware Brad Duncan, analista de inteligência de ameaças da Unit 42.
Segmentar software ou dispositivos de transferência de arquivos não é uma tática nova para grupos de ransomware. O grupo Clop, em particular, assumiu o crédito por uma campanha de ataque em larga escala nos últimos meses contra usuários do software de transferência de arquivos amplamente utilizado da Fortra, o GoAnywhere MFT. Ao explorar uma vulnerabilidade de dia zero — e mais recentemente, vítimas que ainda não corrigiram a falha — o grupo parece ter feito mais de 130 vítimas.
Veja isso
Hacker descreve ataque à IBM e à Universidade de Stanford
Falha na cadeia de suprimentos afeta bancos de dados IBM Cloud
A empresa de segurança Rapid7 recomendou nesta semana que os usuários do Aspera Faspex coloquem seu software offline imediatamente, a menos que o atualizem para uma versão corrigida.
A falha é uma vulnerabilidade de desserialização no código Ruby on Rails do Aspera Faspex versão 4.4.2 executando patch nível 1 e anterior. A IBM corrigiu a vulnerabilidade removendo a chamada de API. Os usuários também podem atualizar para o Faspex 5.x, que não possui a vulnerabilidade.
O Buhti não é o único grupo de ransomware vinculado a ataques contra o software de transferência de arquivos da IBM. A divisão de inteligência de ameaças do SentinelOne, o SentinelLabs, informou em 9 de março ter rastreado o IceFire Ransom, um grupo de ransomware detectado pela primeira vez em março de 2022, explorando a vulnerabilidade no Aspera Faspex.